Schema dei log attività di Microsoft Entra

Questo articolo descrive le informazioni contenute nei log attività di Microsoft Entra e il modo in cui lo schema viene usato da altri servizi. Questo articolo illustra gli schemi dell'interfaccia di amministrazione di Microsoft Entra e Microsoft Graph. Vengono fornite descrizioni di alcuni campi chiave.

Prerequisiti

• Per i requisiti di licenza e ruolo, vedere Concessione della licenza su monitoraggio e integrità di Microsoft Entra.
• L'opzione per scaricare i log è disponibile in tutte le edizioni di Microsoft Entra ID.
• Il download dei log a livello di codice con Microsoft Graph richiede una licenza Premium.
• Lettore report è il ruolo con privilegi minimi necessari per visualizzare i log attività di Microsoft Entra.
• I log di audit sono disponibili per le funzionalità concesse in licenza.
• Se non si dispone della licenza necessaria, i risultati di un log scaricato potrebbero visualizzare hidden per alcune proprietà.

Che cos'è uno schema di log?

Monitoraggio e integrità offrono log, report e strumenti di monitoraggio che possono essere integrati con Monitoraggio di Azure, Microsoft Sentinel e altri servizi. Questi servizi devono eseguire il mapping delle proprietà dei log alle configurazioni del servizio. Lo schema è la mappa delle proprietà, i valori possibili e il modo in cui vengono usati dal servizio. La comprensione dello schema del log è utile per una risoluzione dei problemi e un'interpretazione efficace dei dati.

Microsoft Graph è il modo principale per accedere ai log di Microsoft Entra a livello di codice. La risposta per una chiamata a Microsoft Graph è in formato JSON e include le proprietà e i valori del log. Lo schema dei log è definito nella documentazione di Microsoft Graph.

Esistono due endpoint per l'API Microsoft Graph. L'endpoint V1.0 è il più stabile e viene comunemente usato per gli ambienti di produzione. La versione beta contiene spesso più proprietà, ma sono soggette a modifiche. Per questo motivo, non è consigliabile usare la versione beta dello schema negli ambienti di produzione.

Il cliente Microsoft Entra può configurare i flussi del log attività da inviare agli account di archiviazione di Monitoraggio di Azure. Questa integrazione abilita la connettività SIEM (Security Information and Event Management), l'archiviazione a lungo termine e le funzionalità di query migliorate con Log Analytics. Gli schemi di log per Monitoraggio di Azure potrebbero differire dagli schemi di Microsoft Graph.

Per informazioni dettagliate su questi schemi, vedere gli articoli seguenti:

• Log di controllo di Monitoraggio di Azure
• Log di accesso di Monitoraggio di Azure
• Log di provisioning di Monitoraggio di Azure
• Log di controllo di Microsoft Graph
• Log di accesso di Microsoft Graph
• Log di provisioning di Microsoft Graph

Come interpretare lo schema

Quando si cercano le definizioni di un valore, prestare attenzione alla versione in uso. Potrebbero esserci differenze tra le versioni V1.0 e beta dello schema.

Valori trovati in tutti gli schemi di log

Alcuni valori sono comuni in tutti gli schemi di log.

• correlationId: questo ID univoco consente di correlare le attività che si estendono su vari servizi e vengono usate per la risoluzione dei problemi. La presenza di questo valore in più log non indica la possibilità di unire i log tra i servizi.
• status o result: questo valore importante indica il risultato dell'attività. I valori possibili sono i seguenti: success, failure, timeout, unknownFutureValue.
• Data e ora: data e ora in cui si è verificata l'attività sono espresse in Tempo Coordinato Universale (UTC).
• Alcune funzionalità di creazione di report richiedono una licenza Microsoft Entra ID P2. Se non si dispone delle licenze corrette, viene restituito il valore hidden.

Log di controllo

• activityDisplayName: indica il nome dell'attività o il nome dell'operazione (esempi: "Crea utente" e "Aggiungi membro al gruppo"). Per altre informazioni, vedere Controllare le attività di accesso.
• category: indica la categoria di risorse di destinazione dell'attività. Ad esempio: UserManagement, GroupManagement, ApplicationManagement, RoleManagement. Per altre informazioni, vedere Controllare le attività di accesso.
• initiatedBy: indica informazioni sull'utente o sull'app che ha avviato l'attività.
• targetResources: fornisce informazioni sulla risorsa modificata. I valori possibili comprendono User, Device, Directory, App, Role, Group, Policy o Other.

Log di accesso

• Valori ID: sono disponibili identificatori univoci per utenti, tenant, applicazioni e risorse. Alcuni esempi:
  • resourceId: risorsa a cui l'utente ha eseguito l'accesso.
  • resourceTenantId: tenant proprietario della risorsa a cui si accede. Potrebbe essere uguale a homeTenantId.
  • homeTenantId: tenant proprietario dell'account utente che esegue l'accesso.
• Dettagli del rischio: fornisce il motivo di uno stato specifico di un utente rischioso, dell'accesso o del rilevamento dei rischi.
  • riskState: segnala lo stato dell'utente rischioso, dell'accesso o di un evento di rischio.
  • riskDetail: fornisce il motivo di uno stato specifico di un utente rischioso, dell'accesso o del rilevamento dei rischi. Il valore none indica che finora non è stata eseguita alcuna azione sull'utente o sull'accesso.
  • riskEventTypes_v2: tipi di rilevamento dei rischi associati all'accesso.
  • riskLevelAggregated: livello di rischio aggregato. Il valore hidden indica che l'utente o l'accesso non è stato abilitato per Microsoft Entra ID Protection.
• crossTenantAccessType: descrive il tipo di accesso tra tenant usato per accedere alla risorsa. Ad esempio, B2B, supporto tecnico Microsoft e gli accessi pass-through vengono acquisiti qui.
• status: stato di accesso che include il codice di errore e la descrizione dell'errore (se si verifica un errore di accesso).

Criteri di accesso condizionale applicati

La sottosezione appliedConditionalAccessPolicies elenca i criteri di accesso condizionale correlati a tale evento di accesso. La sezione viene chiamata criteri di accesso condizionale applicati. Tuttavia, i criteri non applicati vengono visualizzati anche in questa sezione. Viene creata una voce separata per ogni criterio. Per altre informazioni, vedere Convenzioni di denominazione per le risorse di Azure.